漏洞描述
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Avatar Uploader是其中的一个用于实现上传用户图片功能的模块。 Drupal Avatar Uploader模块6.x-1.3之前版本中存在任意文件上传漏洞。远程攻击者可通过上传并访问带有PHP扩展的文件利用该漏洞执行任意PHP代码。
Drupal Avatar Uploader模块任意文件上传漏洞
PoC代码
暂无相关漏洞推荐
- POC JNPF快速开发平台 /api/file/Image/userAvatar/aa 文件读取漏洞
- JNPF快速开发平台 userAvatar 存在任意文件文件读取漏洞
- MagicINFO SWUpdateFileUploader 文件上传漏洞
- CVE-2019-6340: Drupal 8 core RESTful Web Services RCE
- POC CVE-2013-2287: WordPress Plugin Uploader 1.0.4 - Cross-Site Scripting
- POC CVE-2014-3704: Drupal SQL Injection
- POC CVE-2014-9444: Frontend Uploader <= 0.9.2 - Cross-Site Scripting
- POC CVE-2018-7600: Drupal - Remote Code Execution
- POC CVE-2018-7602: Drupal - Remote Code Execution
- POC CVE-2018-9205: Drupal avatar_uploader v7.x-1.0-beta8 - Local File Inclusion
- POC CVE-2019-6340: Drupal - Remote Code Execution
- POC CVE-2024-45440: Drupal 11.x-dev - Full Path Disclosure
- POC CVE-2025-31324: SAP NetWeaver Visual Composer Metadata Uploader - Deserialization